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fK| (57) Abstract: The invention relates to, among other things, a method according to which an access function (36) for a number of 
^ service user computers ( 18) permits a connection between the service user computer ( 1 8) and a service provider computer (22 to 26), 
which is selected by a service user (A), according to requests submitted by a service user computer (18). The insertion of an access 
function (36), and the use of a test unit (38) make it possible to secure useful data that is to be processed in a reliant manner. 
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(57) Zusammenfassung: Erlautert wird unter anderem ein Verfahren, bei dem eine Zugangsfunktion (36) fUr mehrere Dienstnut- 
zungsrechner (18) abhangig von Anforderungen von der Seite eines Dienstnutzungsrechnere (18) eine Verbindung zwischen dem 
Dienstnutzungsrechner (18) und einem durch einen Dienstnulzer (A) ausgewahlten Diensterbringungsrechner (22 bis 26) ermOg- 
licht. Das Zwischenschalten einer Zugangsfunktion (36) und das Venvenden einer Priifeinheit (38) erm6glicht die Sicherung von 
vertrauensvoll zu behandelnden Nutzdaten. 
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Beschreibung 

Verfahren zum Erbringen von Diensten in einem Datenubertra- 
gungsnetz und zugehorige Komponenten 

Die Erfindung betrifft ein Verfahren, bei dem eine Zugangs- 
funktion fiir mehrere Dienstnutzungsrechner eine Verbindung 
zwischen dem Dienstnutzungsrechner und einem Diensterbrin- 
gungsrechner ermoglicht. 

So lasst sich mit Hilfe der Zugangsf unktion die Internetseite 
eines Unternehmens aufrufen, das seine Dienstleistungen uber 
das Internet verkauft. Die Zugangsf unktion pruft unter ande- 
rem die Identitat des Dienstnutzers, beispielsweise durch 
Abfrage eines Passwortes. 

Bisher war es ublich, dass jedes Unternehmen seine eigene 
Zugangsf unktion hatte und dass die Kundendaten von jedem 
Unternehmen einzeln und damit unter Umstanden mehrfach ge- 
speichert wofden sind. Die Sicherheit der Kundendaten ist bei 
einer solchen verteilten Speicherung der Kundendaten nur 
eingeschrankt gewahrleistet . Aufgrund dieser Einschrankungen 
der Sicherheit entwickelte sich ein Handel mit Kundendaten . 
Durch einen solchen Handel sinkt die Akzeptanz der 
Diensterbringungsverfahren uber das Internet erheblich, ins- 
besondere wenn Kundendaten gehandelt werden, die im Zusammen- 
hang mit der Kaufkraft, dem Kreditrahmen oder anderen finan- 
ziellen Daten der Kunden stehen. 

Es ist Aufgabe der Erfindung, zum Erbringen von Diensten in 
einem Datenubertragungsnetz ein einfaches Verfahren an- 
zugeben, das es insbesondere gestattet, Kundendaten vor Miss- 
brauch besser zu schutzen als bisher. Aufierdem sollen ein 
zugehdriges Programm und eine zugehorige Datenverarbeitungs- 
anlage angegeben werden. 
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Die auf das Verfahren bezogene Aufgabe wird durch die im 
Patentanspruch 1 angegebenen Verf ahrensschritte gelost. Wei- 
terbildungen sind in den Unteranspruchen angegeben. 

Die Erfindung geht von der Oberlegung aus, dass zura Sichern 
der Kundendaten ein erheblicher Auf wand erforderlich ist, der 
die Akzeptanz der Erbringung von Diensten iiber das Internet 
auf der Seite der Dienstanbieter senken wurde. Um dem aber 
entgegenzuwirken, wird beim erf indungsgemaften Verfahren eine 
Zugangsf unktion verwendet, die eine Verbindung zwischen einem 
Dienstnutzungsrechner und einem von mehreren durch einen 
Dienstnutzer auswahlbaren Diensterbringungsrechner erraog- 
licht, Aulierdem wird eine zentrale Datenbank eingerichtet , in 
der fur die verschiedenen Dienstnutzer zu sichernde Nutzerda- 
ten gespeichert werden, die zur Erbringung der Dienste ver- 
schiedener Diensterbringungsrechner erforderlich sind. Durch 
diese Zentralisierung der Zugangsf unktion und der Datenbank 
lasst sich der Aufwand fur die Sicherung der Kundendaten auf 
eine Vielzahl verschiedener Diensterbringer verteilen. Die 
Akzeptanz auf der Seite der Diensterbringer steigt also. 

Durch das Verwenden der zentralen Datenbank kann auch den 
Dienstnutzern zugesichert werden, dass ihre Daten vor Miss- 
brauch geschutzt sind. Somit erhoht sich die Akzeptanz von 
Verfahren zur Diensterbringung uber ein Datenubertragungsnetz 
auch auf der Seite der Dienstnutzer. 

Das erf indungsgemalie Verfahren geht aulierdem von der Oberle- 
gung aus, dass die zu sichernden Kundendaten zwar im Rahmen 
der Diensterbringung erforderlich sind, jedoch nicht unbe- 
dingt dem Diensterbringer ubergeben werden miissen. Deshalb 
wird beim erf indungsgemafben Verfahren nach der Verbindungs- 
aufnahme zwischen einem Dienstnutzungsrechner und einem aus- 
gewahlten Diensterbringungsrechner im Rahmen der 
Diensterbringung fur den den Dienstnutzungsrechner nutzenden 
Dienstnutzer an eine zentrale Prufeinheit eine Anforderung 
gestellt. Diese Anforderung betrifft beispielsweise die Zusi- 
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cherung der Zahlungsfahigkeit des Dienstnutzers . Die Anforde 
rung kann nur unter Zugriff auf zu sichernde Nutzerdaten des 
Dienstnutzers bearbeitet werden. So sind beispielsweise De- 
ckungszusagen einer Bank fur spatere Nachweiszwecke zu spei- 
chern. Andererseits wird aber auch eine fruhere Deckungszusa 
ge gelesen, falls sie noch gultig ist. Eine Prufeinheit, die 
unabhangig von den Diensterbringungsrechnern arbeitet, bear- 
beitet die Anforderung unter Zugriff auf zu sichernden Nut- 
zerdaten des Dienstnutzers. Nur das Bearbeitungsergebnis 
nicht aber ein zu sicherndes Nutzerdatum selbst wird von der 
Prufeinheit an den die Anforderung stellenden Diensterbrin- 
gungsrechner ubermittelt . Der betreffende Diensterbringungs- 
rechner erbringt dann seinen Dienst abhangig vom Bearbei- 
tungsergebnis. Durch diese Ma/inahme wird also erreicht, dass 
die zu sichernden Kundendaten selbst nicht an einen 
Diensterbringungsrechner ubermittelt werden mussen. Nur die 
Prufeinheit hat Zugriff auf die zu sichernden Oaten. Damit 
ist ein Handel mit den zu sichernden Kundendaten erschwert 
und einem Missbrauch wird wirksam vorgebeugt . 

Bei einer Weiterbildung des erf indungsgemalien Verfahrens 
gehoren die Diensterbringungsrechner verschiedenen Betrei- 
bern. Nach der Anwahl eines Diensterbringungsrechners wird 
dessen Berechtigung zum Stellen von Anf orderungen mit Hilfe 
eines Berechtigungspruf verfahrens gepruft. Das Bearbeitungs- 
ergebnis wird nur bei bestehender Berechtigung von der Pruf- 
einheit an den Diensterbringungsrechner ubermittelt. Bei 
fehlender Berechtigung wird kein Bearbeitungsergebnis Uber- 
mittelt . Bei fehlender Berechtigung muss die Anforderung 
nicht bearbeitet werden. Durch das Priifen der Berechtigung 
zur Seite der Diensterbringungsrechner hin lasst sich gewahr- 
leisten, dass keine Anf orderungen durch Unberechtigte ge- 
stellt werden, welche die Bearbeitungsergebnisse dann miss- 
brauchlich verwenden konnten. 

Bei einer anderen Weiterbildung des erf indungsgemalien Verfah- 
rens werden die zu sichernden Nutzerdaten verschlusselt ge- 
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speichert. Die Diensterbringungsrechner haben keinen Zugang 
zu einem zum Entschlusseln erf orderlichen digitalen Schlus- 
sel. Das Verschliisselungsverf ahren bzw. ein zu verwendender 
Schlussel lasst sich mit Hilfe konstruktiver und/oder elek- 
tronischer Sicherungsmafinahmen geheimhalten . Selbst wenn die 
zu sichernden Kundendaten durch Unbefugte kopiert werden, 
sind diese nicht im Besitz des zum Entschlusseln erforderli- 
Chen Schlussels. Damit bleiben die zu sichernden Daten trotz 
des unberechtigten Kopierens vor Missbrauch geschutzt. 

Bei einem zweiten Aspekt der Erfindung, der auch als eine 
nachsten Weiterbildung des erf indungsgemaften Verfahrens nach 
dem zuvor erlauterten Aspekt der Erfindung auftritt, sind in 
einer Datenbank Dienst-Nutzerdaten gespeichert, die dienstbe- 
zogene Daten fur die Dienstnutzer einzelner Diensterbrin- 
gungsrechner enthalten. Nach der Anwahl eines Diensterbrin- 
gungsrechners wird dessen Berechtigung zum Empfangen von 
Dienst-Nutzerdaten betreffend den durch ihn erbrachten Dienst 
gepruft. An den ausgewahlten Diensterbringungsrechner werden 
die angef orderten Dienst-Nutzerdaten nur bei bestehender 
Berechtigung ubermittelt. Ubermittelt werden immer nur die 
dienstbezogenen Daten desjenigen Dienstnutzers, der den aus- 
gewahlten Diensterbringungsrechner ausgewahlt hat. Der 
Diensterbringungsrechner erbringt dann seinen Dienst unter 
Verwendung der ubermittelten Dienst-Nutzerdaten. Durch die 
Prufung der Berechtigung zum Empfangen von Dienst-Nutzerdaten 
lasst sich gewahrleisten, dass die Dienst-Nutzerdaten einzel- 
ner Diensterbringer nicht missbrauchlich an Dritte ubermit- 
telt werden. 

Bei einer Ausgestaltung ist die Datenbank zum Speichern der 
Dienst-Nutzerdaten Bestandteil der zentralen Datenbank. Bei 
einer anderen Ausgestaltung wird zum Priifen der Berechtigung 
fur das Stellen von Anf orderungen und zum Prufen der Berech- 
tigung fur das Empfangen von dienstbezogenen Dienst-Nutzer- 
daten dasselbe Prufverf ahren ausgefuhrt. Somit ist jeweils 
nur ein Berechtigungsprufverf ahren auszufuhren. 
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Bei einer Weiterbildung des Verfahrens mit einer Datenbank 
fur Dienst-Nutzerdaten sind die Dienst-Nutzerdaten verschlus- 
selt gespeichert und warden auch verschltisselt ubertragen. 
Verschiedene Diensterbringungsrechner verwenden verschiedene 
digitale Schlussel zum EntschlUsseln der Dienst-Nutzerdaten. 
Durch diese Mafinahme wird gewahrleistet, dass die Dienst- 
Nutzerdaten nur durch den berechtigten Diensterbringer ent- 
schlusselt werden konnen. Andere Diensterbringungsrechner und 
auch der Betreiber der Datenbanken sind nicht in der Lage, 
die Dienst-Nutzerdaten zu entschlusseln. Damit lassen sich 
die Dienst-Nutzerdaten wirksam vor Missbrauch schutzen. Die 
Speicherung der Dienst-Nutzerdaten aulierhalb des den Dienst 
erbringenden Unternehmens wird so leichter akzeptiert. 

Bei einer weiteren Ausgestaltung des Verfahrens mit Verwen- 
dung von Dienst-Nutzerdaten sind die Dienst-Nutzerdaten zu- 
satzlich Oder alternativ mit einem zentralen Verschlusse- 
lungsverfahren verschlusselt . Zum Entschlusseln der mit dem 
zentralen Verschlusselungsverf ahren verschlusselten Nutzdaten 
wird ein digitaler Schlussel verwendet, zu dem die 
Diensterbringungsrechner keinen Zugang haben. Durch diese 
Maftnahme lassen sich sowohl von den Diensterbringungsrechnern 
kommende unverschlusselte Oaten als auch verschlusselte Daten 
nach dem gleichen zentralen Verf ahren sicher speichern. Eine 
doppelte Verschlusselung bietet auiierdem eine zusStzliche 
Sicherheit gegen den Missbrauch der dienstbezogenen Daten. 

Bei einer anderen Weiterbildung des erf indungsgemafien Verfah- 
rens werden in einer von mehreren Diensterbringungsrechnern 
genutzten Datenbank digitale Daten uber Zahlungsvorgange fOr 
verschiedene Diensterbringungsrechner gespeichert. Diese 
Datenbank ist beispielsweise Bestandteil der zentralen Daten- 
bank. Es lassen sich die oben genannten Verschlusselungsver- 
fahren auch zum Sichern der Daten uber die Zahlungsvorgange 
einsetzen. AuJierdem wird eine Berechtigungspruf ung vor der 
Obermittlung der Daten uber die Zahlungsvorgange ausgefuhrt. 
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Bei einer weiteren Weiterbildung des erf indungsgema/Jen Ver- 
fahrens wird die Berechtigung des Dienstnutzers unter Verwen- 
dung eines Berechtigungsprufverf ahrens gepruft. Die Auswahl 
wird nur beim Vorliegen einer Berechtigung zugelassen. Durch 
diese Berechtigungspruf ung lasst sich ein Missbrauch von der 
Seite der Dienstnutzer her verhindern. 

Bei einer nachsten Weiterbildung wird die Berechtigungsprii- 
fung bzw, werden die Berechtigungspruf ungen unter Verwendung 
von digitalen Schlusseln durchgef uhrt , die von mindestens 
einer Zertif izierungsstelle erzeugt worden sind. Die Zertifi- 
zierungsstelle selbst ist Teil einer Zertif izierungskette . 
Das Verwenden von digitalen Schlusseln bietet gegenuber dem 
Nutzen von Passwortern eine erhohte und beim zusatzlichen 
Verwenden von Passwortern eine zusatzliche Sicherheit. Eine 
Zertif izierungs-Infrastruktur lasst sich beispielsweise gemafi 
Standard X,509 der ITU-T (International Telecommunication 
Union - Telecommunication Sector) aufbauen. Eingesetzt werden 
aber auch andere Inf rastrukturen, z.B. eine Inf rastruktur 
gemali den Vorgaben der IETF (Internet Engineering Task Force) 
im Request for Comment 2459, Januar 1999. Das Aufbauen sol- 
cher Infrastrukturen und das Einbeziehen in das erf indungsge- 
malie Verfahren gewahrleistet alien beteiligten Seiten eine 
hohe Sicherheit. Beispielsweise lassen sich ungiiltige Schlus- 
sel auf einfache Art und Weise sperren. 

Bei einer anderen Weiterbildung wird ein geheimzuhaltender 
digitaler Schliissel fur das Verschlusseln eingesetzt. Der 
geheimzuhaltende Schliissel wird in einer elektronisch gesi- 
cherten Speichereinheit gespeichert. Bei einer Ausgestaltung 
ist die gesicherte Speichereinheit Bestandteil einer soge- 
nannten Chipkarte, die einen eingegossenen Prozessor und die 
gesicherte Speichereinheit ent'halt. Die gesicherte Spei- 

4 

chereinheit lasst sich ausschlieftlich durch diesen Prozessor 
lesen und schreiben. Vor dem Zugriff wird bei einer Ausges- 
taltung eine Berechtigungspruf ung ausgefuhrt, die beispiels- 
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weise die Abfrage eines Passwortes oder einer Geheimnummer 
enthalt. Vorzugsweise wird ein asymmetrisches Verschlusse- 
lungsverf ahren eingesetzt. 

Bei einer anderen Weiterbildung des erf indungsgemalien Verfah- 
rens betrifft die Anforderung die Absicherung einer Zahlung. 
Die Absicherung der Zahlung ist das Kernstuck der 
Diensterbringung uber ein Datenubertragungsnet 2 und fur die 
Akzeptanz dieser Verf ahren daher besonders wichtig. So werden 
Anf orderungen gestellt, mit denen durch einen Dritten die 
Haftung fur den Fall ubernommen wird, dass der Dienstnutzer 
den genutzten Dienst nicht zahlt. Diese Zusicherungen sind 
bei einer Ausgestaltung zeitlich begrenzt, beispielsweise auf 
einen Tag oder auf die Zeitdauer einer Verbindung zwischen 
Dienstnutzer und Dienst erbringungsrechner. 

Bei einer anderen Weiterbildung des erf indungsgemaften Verfah- 
rens stellt die Prufeinheit zur Bearbeitung der Anforderung 
eine Anfrage zum Erhalt eines Zahlungszertif ikats an einen 
Zertif izierungsrechner . Der Zertif izierungsrechner erzeugt 
ein digitales Zahlungszertif ikat , das die Zahlung absichert. 
Das Zahlungszertif ikat wird dann uber die Prufeinheit zum 
Diensterbringungsrechner weitergeleitet . Auch zum Erzeugen 
des digitalen Zahlungszertif ikates werden bei einer Ausges- 
taltung Verschlusselungs- und/oder Unterschriftsverf ahren 
unter Verwendung von digitalen Schlusseln eingesetzt. Auch 
der Zertif izierungsrechner ist bei einer Ausgestaltung Teil 
einer Zertif izierungsinf rastruktur . Die vom Zertif izierungs- 
rechner ausgestellten Zertifikate haben eine kiirzere Gultig- 
keitsdauer als die Zertifikate fur die digitalen Schlussel. 
Durch die kurze Gultigkeitsdauer lasst sich ein Missbrauch 
der Zahlungszertif ikate bzw. Zahlungsat tribute besser verhin- 
dern. Ein Zertif izierungsrechner ist bei einer Ausgestaltung 
ein sogenannter TrustedA-Rechner (Trusted Authorizer) , wie er 
von der irischen Firma SSE verkauft wird, siehe www.sse.ie. 
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Bei einer alternativen Weiterbildung erzeugt die Prufeinheit 
bei der Bearbeitung der Anforderung selbst ein Zahlungszerti- 
fikat, das die Zahlung absichert. In diesem Fall ist die 
Prufeinheit beispielsweise im Besitz eines Bankinstitutes 
bzw. eines Kreditinstitutes . Das durch die Prufeinheit er- 
zeugte Zahlungszertif ikat wird auch an den Diensterbringungs- 
rechner weitergeleitet . Der Diensterbringungsrechner pruft 
dann beispielsweise das Zahlungszertif ikat und veranlasst die 
Diensterbringung, falls das Zahlungszertif ikat gultig ist und 
die Anforderung bestatigt. 

Bei einer nachsten Weiterbildung erbringen die Diensterbrin- 
gungsrechner die Funktionen elektronischer Kaufplattf ormen 
und/oder elektronischer Dienstleistungsplattf ormen, z.B.: 

- Abruf von Musikdaten, Videodaten oder Programmdaten, 

- e-Business, Bankgeschaf te, Handelgeschaf te, 

- Inf ormationsdienste, 

- sichere digitale Sprachubertragung. 

Damit bietet die Zugangsf unktion dem Dienstnutzer Zugang 
beispielsweise zu einer virtuellen Einkauf smeile . Das erfin- 
dungsgemafie Verfahren wird jedoch auch fur andere Dienste 
eingesetzt, bei denen zu sichernde Daten der Dienstnutzer in 
die Diensterbringung einbezogen werden, beispielsweise Kre- 
ditgeschaf te. 

Die Erfindung betrifft aufierdem ein Programm mit einer Be- 
fehlsfolge, bei deren Ausfuhrung durch einen Prozessor das 
erf indungsgemalie Verfahren oder eine seiner Weiterbildung 
ausgefiihrt wird. AuBerdem ist eine Datenverarbeitungsanlage 
geschutzt, die ein solches Programm enthalt. Fur das Programm 
und die Datenverarbeitungsanlage gelten somit die oben ge- 
nannten technischen Wirkungen. 

Zum Verschlusseln lassen sich asymmetrische Verschlusselungs- 
verfahren einsetzen, z.B. das RSA-Verf ahren {Revist, Shamir, 
Adleman) . Aber auch symmetrische Verfahren werden eingesetzt, 
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2.B. der dreifache DES-Algorithmus (Data Encryption Stan- 
dard) . Ein anderes gebrauchliches Verschlusselungsverf ahren 
ist beispielsweise das ECC-Verf ahren (Elliptic Curve Cryp- 
tographie) . 



Im Folgenden werden Ausf uhrungsbeispiele der Erfindung an 
Hand der beiliegenden Zeichnungen erlautert. Darin zeigen: 

Figur 1 ein Datenubertragungsnetz und einen Zentralrechner, 

Figur 2 Verf ahrensschritte zur Erbringung des Dienstes 

"Buchkauf 

Figur 3 die Bearbeitung einer Zahlungsf ahigkeitsanf rage, 

und 



Figur 4 die Bearbeitung einer Attributanf rage . 

Figur 1 zeigt ein Datenubertragungsnetz 10, das einen Zent- 
ralrechner 12 enthalt. Bestandteil des Datenubertragungsnet- 
zes 10 sind auch das Internet 14 sowie ein Mobilf unknetz 16. 
Im Internet 14 werden digitale Daten gemali Protokoll TCP/IP 
(Transmission Control Protocol/Internet Protocol) ubertragen. 
Im Mobilf unknetz 16 werden digitale Daten beispielsweise 
gemaf3 GSM-Standard (Global System for Mobile Communication) 
Oder gemali UMTS-Standard (Universal Mobile Telecommunication 
System) ubertragen . 

Uber das Internet 14 oder das Mobilf unknetz 16 konnen eine 
Vielzahl von Dienstnutzern, beispielsweise mehrere Tausend, 
Verbindungen zwischen den von ihnen genutzten Endgeraten und 
dem Zentralrechner 12 aufbauen. In Figur 1 ist das Endgerat 
18 eines Dienstnutzers A dargestellt. Das Endgerat 18 ist 
beispielsweise ein tragbarer Rechner oder ein Mobilf unkgerat 
und enthalt eine Smartkarte 20. 
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Ober das Internet 14 und das Mobilf unknetz 16 lassen sich 
aufterdem Verbindungen zwischen einer Vielzahl von 
Diensterbringungsrechnern und dem Zentralrechner 12 aufbauen. 
Beispielsweise sind mehrere hundert Diensterbringungsrechner 
5 beim Zentralrechner 12 registriert. In Figur 1 sind zwei 
Diensterbringungsrechner 22 und 24 dargestellt, die 
Diensterbringern B und Z gehoren. Weitere Diensterbringungs- 
rechner 26 sind durch Punkte angedeutet. In den Diensterbrin- 
gungsrechnern 22 und 24 sind jeweils voneinander verschiedene 
10 digitale Zertifikate ZB bzw, ZZ gespeichert. 

Die Smartkarte 20, das Zertifikat ZB und das Zertifikat ZZ 
sind von einetn PKI-Zentrum 28 (public key infrastructure) 
ausgegeben worden, nachdem die Identitat des Dienstnut zers A, 
15 des Diensterbringers B bzw. des Diensterbringers Z durch eine 
lokale Ausgabestelle gepriift worden sind. Die lokale Ausgabe- 
stelle wird auch als LRA-Stelle (Local Registration Authori- 
ty) bezeichnet. Die Ausgabe der Smartkarte 2 0 bzw. des Zerti- 
fikates ZB wird durch einen Pfeil 30 bzw. 32 verdeutlicht . 

20 

Wird die Smartkarte 20 oder ein Zertifikat ZB, ZZ gesperrt, 
so benachrichtigt das PKI-Zentrum 28 den Zentralrechner 12, 
siehe Pfeil 34. Der Zentralrechner 12 schlielit dann die un- 
giiltige Smartkarte 20 bzw. die ungultigen Zertifikate ZB, ZZ 
25 bei Berechtigungspruf ungen von weiteren Transaktionen aus. 

Der Zentralrechner 12 ist ein sehr leistungsstarker Rechner 
und enthalt eine Zugangseinheit 36, eine Priifeinheit 38 und 
eine Datenbank '40 . Die Zugangseinheit 36 stellt eine Zugangs- 

30 moglichkeit fur die Dienstnutzungsrechner 18 dar und ist mit 
dem Internet 14 und dem Mobilf unknetz 16 verbunden. Auiierdem 
lassen sich iiber die Zugangseinheit 36 die Verbindungen zwi- 
schen dem Zentralrechner 12 und den Diensterbringungsrechnern 
22 bis 26 aufbauen, siehe Verbindungen 42 und 44. Die Zu- 

35 gangseinheit 36 fuhrt auch Berechtigungspruf ungen durch, die 
unten an Hand der Figur 2 naher erlautert werden. 
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Die Prufeinheit 38 pruft, ob fur einen Dienstnutzer die Ge- 
wahr ubernommen werden kann, dass er zahlungsf ahig ist, Dazu 
wird ein sogenanntes Zahlungsattribut erzeugt . Die dabei 
ausgefuhrten Verf ahrensschritte werden unten an Hand der 
Figuren 3 und 4 naher erlautert. 



Die Zugangseinheit 36 und die Prufeinheit 38 haben Zugriff 
auf die Datenbank 40. In der Datenbank 40 sind Dienstnutzer- 
profile 46 und Dienst-Nutzerdaten 48 gespeichert . Die Daten- 
bank 40 wird mit einem kominerziell verfugbaren Verzeichnis- 
verwaltungsprogramm verwaltet, z.B. mit dem Programm DIRX der 
Firma SIEMENS AG. Die Dienstnutzerprof ile 46 enthalten Daten 
uber die Gewohnheiten der Dienstnutzer bei der Auswahl der 
Diensterbringungsrechner 22 bis 24. Aufierdem enthalten die 
Dienstnutzerprof ile 46 beispielsweise Angaben uber einen 
Kreditrahmen, bis zu dem der Betreiber des Zentralrechners 
die Gewahr fur die Zahlungsf ahigkeit der Dienstnutzer uber- 
nimmt. Die Dienst-Nutzerdaten 4 8 gehoren, abhangig vom be- 
troffenen Dienst, dem Erbringer dieses Dienstes, Beispiels- 
weise enthalten Dienst-Nutzerdaten 48 fur den Dienst "Buch- 
verkauf", der durch den Diensterbringungsrechner 22 erbracht 
wird, die folgenden Angaben: 

die bereits durch einen Dienstnutzer bestellten Bucher, 

ein Kennzeichen fur den Dienstnutzer, und 

Angaben uber vom Dienstnutzer noch nicht beglichene Rech- 

nungen im Zusammenhang mit den Buchkaufen. 

Die Dienstnutzerprof ile 46 sind mit einem sogenannten bffent- 
lichen Schlussel Sl-E (Encryption) verschlusselt . Beim Lesen 
der Dienstnutzerprof ile 46 aus der Datenbank 40 werden die 
Daten mit Hilfe eines geheimgehaltenen privaten Schlussels 
Sl-D (Decryption) entschlusselt . Die beiden Schlussel Sl-E 
und Sl-D sind Partnerschlussel eines asymmetrischen Ver- 
schlusselungsverf ahrens . Der private Schlussel Sl-D lasst 
sich durch konstruktive und/oder elektronische Malinahmen im 
Zentralrechner 12 geheimhalten . 
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Die Dienst-Nutzerdaten 48 werden in den Diensterbringungs- 
rechnern 22 bis 26 mit voneinander verschiedenen offentlichen 
Schlusseln der einzelnen Diensterbringer verschlusselt , siehe 
beispielsweise die offentlichen Schlussel S2-'E bzw. S3-E im 
Diensterbringungsrechner 22 bzw. 24. Anschlieliend werden die 
verschlusselten Dienst-Dienstnutzerdaten uber die Verbindung 
42 bzw. 44 iibertragen und in der Datenbank 40 verschlusselt 
gespeichert. Andererseits lassen sich die Dienst-Nutzerdaten 
48 auch verschlusselt aus der Datenbank 40 lesen, verschlus- 
selt uber die Verbindung 42 bzw. 44 zu einem Diensterbrin- 
gungsrechner 22 bzw. 24 ubertragen und dort mit Hilfe eines 
Partnerschlussels S2-D bzw. S3-D entschlusseln. 



Figur 2 zeigt Verf ahrensschritte zur Erbringung des Dienstes 
"Buchkauf" durch den Diensterbringungsrechner 22. Will der 
Dienstnutzer A ein Buch kaufen, so baut er eine Verbindung 
zwischen seinem Dienstnutzungsrechner 18 und dem Zentralrech- 
ner 12 auf, genauer gesagt mit der Zugangseinheit 36 des 
Zentralrechners 12 . Zwischen Dienstnutzungsrechner 18 und 
Zugangseinheit 36 wird ein Authentisierungsverf ahren 60 aus- 
gefuhrt, bei dem ein Nutzerkennzeichen des Dienstnutzers A 
durch die Zugangseinheit 36 erfragt wird. An Hand des Nutzer- 
kennzeichens wird ein offentlicher Schlussel S4-E ermittelt, 
welcher der Partnerschlussel zu dem in der Smartkarte 20 
gespeicherten Schlussel S4-D des Dienstnutzers A ist. Unter 
Verwendung des offentlichen Schlussels Sl-E des Zentralrech- 
ners 12 werden die vom Dienstnutzungsrechner 18 kommenden 
Daten verschlusselt. Die Zugangseinheit 36 entschlusselt 
diese Daten mit Hilfe des privaten Schlussels Sl-D. Die von 
der Zugangseinheit 36 zum Dienstnutzungsrechner 18 zu uber- 
tragenden Daten werden andererseits in der Zugangseinheit 36 
mit Hilfe des offentlichen Schlussels S4-E verschlusselt und 
anschlieliend uber das Internet 14 zum Dienstnutzungsrechner 
18 ubertragen. Im Dienstnutzungsrechner 18 wird zum Ent- 
schlusseln der von der Zugangseinheit 36 kommenden Daten ein 
privater Schlussel S4-D benutzt, der in der Smartkarte 20 
gesichert gespeichert ist. Vor der Benutzung des offentlichen 
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Schlussels S4-E pruft die Zugangseinheit 36, ob dieser 
Schlussel noch giiltig ist. 

Anschlieliend fordert die Zugangseinheit 36 ein Dienstnutzer- 
profil NP-A des Dienstnutzers A von der Datenbank 40 an, 
siehe Pfeil 62. An Hand der im Dienstnutzerprof il NP-A ge- 
speicherten Daten erstellt die Zugangseinheit 36 dem Dienst- 
nutzer A eine Auswahlliste mit Adressen von Diensterbrin- 
gungsrechnern, die er haufig anwahlt. In dieser Liste ist 
auch die Internetadresse des Diensterbringungsrechners 22 
vermerkt . 

Der Dienstnutzer A wahlt aus der Liste einen Diensterbrin- 
gungsrechner aus, beispielsweise den Diensterbringungsrechner 
22, siehe Pfeil 64. In einem nachsten Verf ahrensschritt 66 
wird zwischen dem Dienstnutzungsrechner 18 und dem 
Diensterbringungsrechner 22 ein gesicherter Obertragungskanal 
aufgebaut. Der Diensterbringungsrechner 22 ubermittelt an den 
Dienstnutzungsrechner 18 seinen offentlichen Schlussel S2-E 
und ein Zertifikat ZB zu seinem offentlichen Schlussel S2-E. 
Im Dienstnutzungsrechner 18 wird das Zertifikat zu dem of- 
fentlichen Schlussel S2-E uberpriift. Es sei angenommen, dass 
das Zertifikat ZB echt ist. 

Der Dienstnutzer A verschlusselt die von ihm zu sendenden 
Daten mit Hilfe des offentlichen Schlussels S2-E. Aufierdem 
ubermittelt der Dienstnutzungsrechner 18 seinen Offentlichen 
Schlussel S4-E und einen Verweis auf ein Zertifikat zu seinem 

* 

offentlichen Schlussel S4-E, beispielsweise einen Verweis auf 
das PKI-Zentrum 28 oder einen Verweis auf den Zentralrechner 
12. Der Diensterbringungsrechner 22 liberpruft das Zertifikat 
unter Verwendung mindestens eines offentlichen Schlussels, 
dem er vertraut. Das Zertifikat sei echt. Vom Diensterbrin- 
gungsrechner 22 kommende Daten werden deshalb mit Hilfe des 
offentlichen Schlussels S4-E verschlusselt. 
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Urn sogenannte Replay-Angrif f e und sogenannte Man-in-the- 
Middle-Angrif fe auszuschlielien, wird beim Aufbau des gesi- 
cherten Obertragungskanals 66 auch ein sogenanntes Challenge- 
Response -Verfahren eingesetzt, bei dem Zuf allszahlen zwischen 
dem Dienstnutzungsrechner 18 und dem Diensterbringungsrechner 
22 ausgetauscht werden, die sich bei jedem Verbindungsaufbau 
andern, 

Der Dienstnutzer A wahlt tiber den gesicherten Ubertragungska- 
nal ein Buch aus und bekundet durch Betatigen einer Schalt- 
flache sein Kauf interesse . Danach wird zwischen dem 
Diensterbringungsrechner 22 und dem Zentralrechner 12 eine 
Verbindung aufgebaut, genauer gesagt zwischen dem 
Diensterbringungsrechner 22 und der Zugangseinheit 3 6 des 
Zentralrechners 12 . 

In einem Verf ahrensschritt 68 wird die Berechtigung des 
Diensterbringungsrechners 22 gepruft. Fur diese Prufung uber- 
mittelt der Diensterbringungsrechner 22 ein Zertifikat ZB zu 
seinem offentlichen Schlussel S2-E an die Zugangseinheit 36. 
Die Zugangseinheit 36 iiberpruft dieses Zertifikat ZB. 

Die vom Diensterbringungsrechner 22 kommenden Daten sind mit 
Hilfe des offentlichen Schlussels Sl-E des Zentralrechners 12 
verschlusselt . Der Zentralrechner 12 kann diese Daten unter 
Verwendung seines privaten Schlussels Sl-D entschlusseln. 

Auch der Zentralrechner 12 sendet ein Zertifikat zu seinem 
offentlichen Schlussel Sl-E an den Diensterbringungsrechner 
22* Vor der Verwendung des Schlussels Sl-E priift der 
Diensterbringungsrechner 22 das Zertifikat zu dem offentli- 
chen Schlussel Sl-E. 

Der Diensterbringungsrechner 22 fordert nun Kundendaten KD-A 
des Dienstnutzers A vom Zentralrechner 12 an. In einem Ver- 
f ahrensschritt 70 werden die Kundendaten KD-A aus der Daten- 
bank 40 ausgelesen und an den Diensterbringungsrechner 22 
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ubertragen. Die Kundendaten KD-A sind dabei mindestens einmal 
verschlusselt, und zwar mit dem offentlichen Schlussel S2-D. 



Aufgrund der Kundendaten KD-A erstellt der Diensterbringungs- 
rechner 22 automatisch einen Kaufvertrag. Die Vertragsdaten 
werden vom Dienstnutzungsrechner 18 nach der Eingabe einer 
PIN (Personal Identity Number) , einer TAN {Transaction Num- 
ber) Oder eines biometrischen Merkmals unter Verwendung des 
privaten Schlussels S4-D unterzeichnet • Auch der 
Diensterbringungsrechner 22 des Diensterbringers B unter- 
zeichnet die Vertragsdaten mit seinem privaten Schlussel S2- 
D. Die unterzeichneten Daten werden zwischen dem Dienstnut- 
zungsrechner 18 und dem Diensterbringungsrechner 22 uber den 
gesicherten Ubertragungskanal ausgetauscht . 

Im Diensterbringungsrechner 22 wird die Unterschrift des 
Dienstnutzungsrechners 18 gepruft. Dazu lasst sich der 6f- 
fentliche Schlussel S4-E nutzen. Es sei angenommen, dass die 
Unterschrift echt ist . Der Dienstnutzungsrechner 18 pruft die 
Unterschrift des Diensterbringungsrechners 22 unter Verwen- 
dung des offentlichen Schlussels S2-E. 

In einem Verf ahrensschritt 74 stellt der Diensterbringungs- 
rechner 22 eine Anfrage zur Zahlungsabwicklung mit dem 
Dienstnutzer A und gibt dabei den Betrag an, fur den der 
Dienstnutzer A bei ihm Bucher gekauft hat, beispielsweise DM 
300, Die Anfrage und der Betrag werden mit Hilfe des privaten 
Schlussels 82 -D einer Unterschrift SignB unterschrieben. 

Die Prufeinheit 38 uberpruft die Unterschrift SignB mit Hilfe 
des offentlichen Schlussels S2-E. Es sei angenommen, dass die 
Unterschrift echt ist. Die Prufeinheit 38 pruft mit Hilfe 
eines unten an Hand der Figur 3 naher erlauterten Verfahrens, 
Ob ein Kreditinstitut eine Deckungszusage ubernimmt, ob der 
Betrag im Rahmen einer Kreditvereinbarung mit einem Kreditin- 
stitut liegt Oder ob der Dienstnutzer A seine Erlaubnis zur 
sofortigen Abbuchung von seinem Konto gegeben hat. Es sei 
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angenommen, dass eine Erlaubnis zur sofortigen Abbuchung 
vorliegt. Deshalb beschafft die Pruf ungseinheit 38 nun nach 
einem unten an Hand der Figur 4 eriauterten Verfahren ein 
Zahlungsattribut . Die Prufeinheit 38 bucht dann den Betrag 
von DM 300 vom Konto des Dienstnutzers A ab und uberweist den 
Betrag auf ein Treyhandkonto, um ihn spater an den Betreiber 
des Diensterbringungsrechners B zu iiberweisen. 

In einem Verf ahrensschritt 76 wird zum Diensterbringungsrech- 
ner 22 ein Zahlungsattribut ubertragen, in dem bestatigt 
wird, dass der Dienstnutzer A den Betrag von DM 300 bezahlt 
bzw. bezahlt hat. Das Zahlungsattribut wird mit Hilfe des 
privaten Schlussels Sl-D des Zentralrechners 12 unterschrie- 
ben und zum Diensterbringungsrechner 22 ubermittelt , gegebe- 
nenfalls auch in verschliisselter Form. 



In einem Verf ahrensschritt 78 bestatigt der Diensterbrin- 
gungsrechner 22 dem Dienstnutzungsrechner 18, dass der Auf- 
trag angenommen und die Auslieferung der Bucher veranlasst 
worden ist. Zur Ubertragung der Auf tragungsbestatigung wird 
der gesicherte Ubert ragungskanal zwischen dem Diensterbrin- 
gungsrechner 22 und dem Dienstnutzungsrechner 18 genutzt. 

In einem Verf ahrensschritt 80 archiviert der Diensterbrin- 
gungsrechner 22 die den Kaufvertrag betreffenden Daten in der 
Datenbank 40, gegebenenf alls verschlusselt . 

Nachfolgende weitere Verf ahrensschritte 82 sind durch Punkte 
angedeutet. Der Diensterbringungsrechner 22 veranlasst uber 
ein Logistiksystem die Auslieferung des Buches an den Dienst- 
nutzer A. Bei der Ubergabe des Buches bestatigt der Dienst- 
nutzer A den Erhalt. Die Bestatigung wird beispielsweise uber 
das Mobilfunknetz 16 mit Hilfe einer SMS-Nachricht (Short 
Message Service) an den Zentralrechner 12 ubertragen und dort 
fur spatere Nachweiszwecke gespeichert. Gleichzeitig wird die 
Uberweisung des Betrages von DM 300 von dem Treuhandkonto auf 
ein Konto des Diensterbringers B uberwiesen. 
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Figur 3 zeigt die Bearbeitung der Zahlungsfahigkeitsanf rage. 
Die Zahlungsfahigkeitsanfrage wird von der Prufeinheit 38 an 
einen Bankrechner 100 gestellt, der einem Kreditinstitut oder 
einer Bank gehort. Die Zahlungsfahigkeitsanfrage wird durch 
einen Pfeil 102 dargestellt und enthalt Angaben zum Dienst- 
nutzer A sowie Angaben zum Betrag. Der Bankrechner 100 uber- 
pruft, ob eine Deckungszusage erteilt werden kann. Im Ausfuh- 
rungsbeispiel ist dies der Fall und mit Hilfe einer Auskunft 
104 teilt der Bankrechner 100 der Prufeinheit 38 mit, dass 
der Dienstnutzer A die Erlaubnis erteilt hat, von seinem 
Konto sofort abzubuchen. Bei einem anderen Ausf uhrungsbei- 
spiel teilt der Bankrechner 100 beispielsweise mit, dass der 
Dienstnutzer einen Kreditrahmen von zehn tausend D-Mark hat. 

Fur die Ubertragung der Zahlungsfahigkeitsanfrage 102 und die 
Ubertragung der Auskunft 104 lassen sich ebenfalls digitale 
Schlussel einer Inf rastruktur und zugehorige Zertifikate 
nutzen, urn einem Missbrauch vorzubeugen. Bei einem Ausfiih- 
rungsbeispiel werden die zwischen der Prufeinheit 38 und dem 
Bankrechner 100 ausgetauschten Daten nach einem digitalen 
Verschlusselungsverf ahren verschlusselt . 

Die Auskunft 104 des Bankrechners 100 wird in dem Dienstnut- 
zerprofil 46 gespeichert. Die Auskunft ist vertraulich und 
wird dem Diensterbringungsrechner 22 nicht zur Verfugung 
gestellt . 

Figur 4 zeigt die Bearbeitung einer Zahlungsattributanf rage 
122, die nach dem Erhalt der Auskunft 104 von der Prufeinheit 
38 an einen Zahlungsattribut -Server 120 gerichtet wird, der 
auch als TrustedA-Rechner bezeichnet wird. Beispielsweise 
wird ein Trust edA-Rechner der Firma SSE eingesetzt, siehe 
www. sse . ie . 



Die Zahlungsattributanfrage 122 enthalt u.a. die folgenden 
Daten : 
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- den Betrag von DM 300, 

- den Namen der Prufeinheit 38, die das Zahlungsattribut 
beantragt, und 

- den Namen des Diensterbringungsrechners 22, fiir den das 
Zahlungsattribut bestimmt ist. 

Der Zahlungsattribut -Server 120 stellt ein Zahlungsattribut 
124 aus, mit dem folgende Daten zertif iziert , d.h. mit einer 
digitalen Unterschrift SignAS des At tribut -Servers versehen, 
werden : 

- der Betrag von DM 3 00, 

- den Namen der Prufeinheit 38, die das Zahlungsattribut 124 
beantragt , 

- den Namen des Diensterbringungsrechners 22, fur den das 
Zahlungsattribut 124 bestimmt ist, und 

- ein Ablauf datum. 

Das Zahlungsattribut wird in einem Verf ahrensschritt 124 vom 
Attribut-Server 120 zur Prufeinheit 38 ubermittelt. Die Pruf- 
einheit pruft die Angaben und die Unterschrift SignAS mit 
Hilfe mindestens eines offentlichen Schlussels, der als ver- 
trauensvoll eingestuft ist. 

Auch der Diensterbringungsrechner 22 pruft bei einem Ausfuh- 
rungsbeispiel die Echtheit des Zahlungsattributes 124. Der 
Kauf wird nur bestatigt, wenn das Zahlungsattribut echt ist. 

Die an Hand der Figuren 1 bis 34 eriauterten Einheiten lassen 
sich mit Hilfe von Programmen realisieren. Eingesetzt werden 
aber auch Schaltungseinheiten ohne einen Prozessor. Die Funk- 
tionen des Zentralrechners 12 lassen sich auch auf mehrere 
Rechner aufteilen, die an verschiedenen Stellen des Daten- 
ubertragungsnetzes 10 liegen. 

Bei einem anderen Ausf uhrungsbeispiel werden unterschiedliche 
Schliissel zum Verschlusseln der Daten zwischen dem Zentral- 

» 

rechner 12 und dem Diensterbringungsrechner einerseits und 
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zum Verschlusseln der in der Datenbank 40 zu speichernden 
Dienst-Dienstnutzerdaten 48 verwendet . Durch eine Doppelver- 
schlusselung der Obertragung auf den Verbindungen 42 und 44 
lasst sich die Sicherheit waiter erhohen. 

Durch den Betreiber des Zentralrechners 12 werden die 
Diensterbringer vor der Erteilung einer Zugangsberechtigung 
auf ihre Vertrauenswurdigkeit hin uberpruft. Auch neue 
Dienstnutzer werden auf ihre Vertrauenswurdigkeit hin uber- 
pruft. Durch diese Vorgehensweise lasst sich die Akzeptanz 
der erlauterten Verfahren sowohl auf der Seite der Diensterb- 
ringer als auch auf der Seite der Dienstnutzer weiter erho- 
hen. 

Bei einem weiteren Ausf uhrungsbeispiel werden die Funktionen 
des TrustedA-Rechners 120 durch den Zentralrechner 12 er- 
bracht. Wird der Zentralrechner 12 bei einem nachsten Ausf uh- 
rungsbeispiel von einer Bank betrieben, so lassen sich auch 
die Funktionen des Bankrechners 100 durch den Zentralrechner 
12 erbringen. 

Die Funktionen des Zentralrechners 12 werden bei einem ande- 
ren Ausf uhrungsbeispielen von mehreren Rechnern erbracht, die 
iiber das Internet 14 oder uber Standleitungen miteinander 
verbunden werden. 
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Patentanspriiche 

1. Verfahren zum Erbringen von Diensten in einem Datenuber- 
tragungsnetz (10) , 

5 

bei dem eine Zugangsf unktion (36) fur mehrere Dienstnutzungs- 
rechner (18) abhangig von Anf orderungen von der Seite eines 
Dienstnutzungsrechners (18) eine Verbindung zwischen dem 
Dienstnutzungsrechner (18) und einem von mehreren durch einen 
10 Dienstnutzer (A) auswahlbaren Diensterbringungsrechner (22 
bis 26) ermbglicht, 

bei dem in einer zentralen Datenbank (40) fur die verschiede- 
nen Dienstnutzer (A) zu sichernde Nutzerdaten (46) gespei- 
15 chert werden, die zur Erbringung der Dienste verschiedener 
Diensterbringungsrechner (22 bis 26) erforderlich sind, 

bei dem nach der Verbindungsauf nahme zwischen einem Dienst- 
nutzungsrechner (18) und einem ausgewahlten Diensterbrin- 

20 gungsrechner (22) im Rahmen der Diensterbringung fur den den 
Dienstnutzungsrechner (18) nutzenden Dienstnutzer (A) an eine 
von mehreren Diensterbringungsrechner (22 bis 26) genutzte 
Prufeinheit (38) eine Anforderung gestellt wird, die nur 
unter Verwendung der zu sichernden Nutzerdaten (4 6) des 

25 Dienstnutzers (A) bearbeitet werden kann, 

bei dem die Prufeinheit (38) die Anforderung (74) unter 
Zugriff auf die zu sichernden Nutzerdaten (46) des Dienstnut- 
zers (A) bearbeitet und das Bearbeitungsergebnis (76) an den 
30 die Anforderung (74) stellenden Diensterbringungsrechner (22) 
iibermittelt , 

und bei dem der Diensterbringungsrechner (22) seinen Dienst 
abhangig vom Bearbeitungsergebnis (76) erbringt . 

35 
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2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet , dass die Diensterbringungsrechner (22 bis 26) 
verschiedenen Betreibern gehoren, 

dass nach der Anwahl eines Diensterbringungsrechners dessen 
Berechtigung zum Stellen einer Anforderung mit Hilfe eines 
Berechtigungsprufverf ahrens (68^ 74) gepruft wird, 

und dass bei bestehender Berechtigung das Bearbeitungsergeb- 
nis (76) und bei fehlender Berechtigung kein Bearbeitungser- 
gebnis (76) ubermittelt wird. 

3. Verfahren nach Anspruch 1 oder 2, dadurch ge- 
kennzeichnet , dass die zu sichernden Nutzerdaten 
(46) verschlusselt gespeichert werden, 

und dass die Diensterbringungsrechner (22 bis 24) keinen 
Zugang zu einem zum Entschlusseln der zu sichernden Nutzerda- 
ten (46) erf orderlichen digitalen Schlussel (Sl-D) haben. 

4. Verfahren zum Erbringen von Diensten in einem Dateniiber- 
tragungsnetz (10) , insbesondere nach einem der vorhergehenden 
Anspruche, dadurch gekennzeichnet, dass in 
einer Datenbank (40) Dienst -Nutzerdaten (48) gespeichert 
sind, die dienstbezogene Daten fur die Dienstnutzer (A) ein- 
zelner Diensterbringungsrechner (22 bis 26) enthalten, 

dass nach der Auswahl eines Diensterbringungsrechners (22 bis 
26) dessen Berechtigung zum Empfangen von Dienst -Nutzerdaten 
(48) betreffend den durch ihn erbrachten Dienst gepruft wird, 

■ 

dass an den ausgewahlten Diensterbringungsrechner (22) bei 
bestehender Berechtigung die Dienst-Nutzerdaten (48) desjeni- 
gen Dienstnut zers (A) ubermittelt werden, der den ausgewahl- 
ten Diensterbringungsrechner (22) ausgewahlt hat. 
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und dass der Diensterbringungsrechner (22) seinen Dienst 
unter Verwendung der ubermittelten Dienst-Nutzerdaten (48) 
erbringt . 

5. Verfahren nach Anspruch 4, dadurch gekenn- 
zeichnet , dass die Dienst-Nutzerdaten (48) verschlus- 
selt gespeichert und ubertragen werden, 

und dass verschiedene Diensterbringungsrechner (22, 24) ver- 
schiedene digitale Schlussel (S2-D, S3-D) zum Entschlusseln 
der Dienst-Nutzerdaten (48) verwenden. 

6. Verfahren nach Anspruch 4 oder 5, dadurch ge- 
kennzeichnet , dass die Dienst-Nutzerdaten (48) mit 
einem zentralen Verschlusselungsverf ahren verschlusselt sind, 

und dass zum Verschlusseln gemali zentralem Verschlusselungs- 
verfahren ein fur die Dienst-Dienstnutzerdaten verschiedener 
Diensterbringungsrechner (22 bi 26) gleicher digitaler 
Schlussel verwendet wird. 

7. Verfahren nach einem der Anspruche 4 bis 6, dadurch 
gekennzeichnet , dass in einer von mehreren 
Diensterbringungsrechnern (22 bis 26) genutzten Datenbank 
(40) digitale Daten uber Zahlungsvorgange fur verschiedene 
Diensterbringungsrechner (22 bis 26) gespeichert werden (80) . 

8. Verfahren nach einem der vorhergehenden Anspruche, da- 
durch gekennzeichnet, dass die Berechtigung des 
Dienstnutzers (A) unter Verwendung eines Berechtigungspruf - 
verfahrens (60) gepriift wird, 

und dass die Auswahl nur beim Vorliegen einer Berechtigung 
zugelassen wird. 

9. Verfahren nach einem der vorhergehenden Anspruche, da 
durch gekennzeichnet, dass die Berechtigungs- 
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prufung unter Verwendung von digitalen Schlusseln durchge- 
fuhrt wird, die von mindestens einer Zertif izierungsstelle 
(28) erzeugt worden sind, 

und dass die Zertif izierungsstelle (28) Teil einer Zertifi- 
zierungs-Inf rastruktur ist. 

10. Verfahren nach Anspruch 9, dadurch gekenn- 
zeichnet , dass ein geheimzuhaltender digitaler Schliis- 
sel (S4-D) fur das Verschlusseln eingesetzt wird, 

und dass der geheimzuhaltende digitale Schlussel (S4-D) in 
einer elektronisch gesicherten Speichereinheit (20) gespei- 
chert ist. 

11. Verfahren nach Anspruch 10, dadurch gekenn- 
zeichnet , dass die gesicherte Speichereinheit (20) 
Bestandteil einer Chipkarte (20) mit einem Prozessor ist, 

und dass auf die gesicherte Speichereinheit (20) nach einer 
Berechtigungsprufung nur mit dem Prozessor zugegriffen werden 
kann . 

12. Verfahren nach einem der vorhergehenden Anspruche, da- 
durch gekennzeichnet, dass die Anforderung (74) 
die Absicherung einer Zahlung betrifft. 

13. Verfahren nach Anspruch 12, dadurch gekenn- 
zeichnet , dass die Prufeinheit (38) zur Bearbeitung der 
Anforderung eine Anfrage (102) zum Erhalt eines Zahlungszer- 
tifikats (104) an einen Zertif izierungsrechner (120) stellt, 

und dass der Zertif izierungsrechner (120) ein digitales Zah- 
lungszertif ikat (124) erzeugt, das die Zahlung absichert, 

und dass das Zahlungszertif ikat uber die Prufeinheit (38) zum 
Diensterbringungsrechner (22) weitergeleitet wird. 
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14 . Verfahren nach Anspruch 12, dadurch gekenn- 
zeichnet^ dass die Prufeinheit (38) bei der Bearbeitung 
der Anforderung (74) ein Zahlungszertif ikat erzeugt, das die 
5 Zahlung absichert, 

und dass das Zahlungszertif ikat an den Diensterbringungsrech- 
ner (22) weitergeleitet wird. 

10 15. Verfahren nach Anspruch 13 oder 14, dadurch ge- 
kennzeichnet , dass das Zahlungszertif ikat (124) mit 
Hilfe eines digitalen Schlussels erzeugt wird. 

16. Verfahren nach einem der vorhergehenden Anspruche, da - 
15 durch gekennzeichnet, dass die Diensterbrin- 

gungsrechner (22 bis 26) die Funktion elektronischer Kauf- 
plattformen fur verschiedene Produkte oder Produktgruppen 
erbringen und/oder elektronischer Dienstleistungsplattf ormen 
fur verschiedene Dienstleistungen oder Dienstleistungsgrup- 
20 pen. 

17. Programm mit einer Bef ehlsf olge, bei deren Ausfiihrung 
durch einen Prozessor die Verf ahrensschritte nach einem der 
vorhergehenden Anspruche ausgefuhrt werden. 

25 

18 . Datenverarbeitungsanlage (12), gekennzeichnet 
durch ein Programm nach Anspruch 17. 
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